|
|
楼主 |
发表于 2004-1-17 18:37:59
|
显示全部楼层
安装包,还有几篇参考文献,注意NTOP非常好,但是是及时情况,不能保存日志。
安装包,还有几篇参考文献,注意NTOP非常好,但是是及时情况,不能保存日志。
監控校內網路 -- ntop
by OLS3 (ols3@www.tnc.edu.tw) 2002/09/28
(本文可自由取用, 唯不可轉載於商業用途.)
這個工具可以讓您了解校園網路內流量使用情形, 各個主機佔用頻寬的統計一目了然.
我的安裝環境: RedHat 7.3 , 該主機有安裝 mysql*.rpm 套件
--------------------------------------------------------------------------------
安裝 ntop 的方法如下:
要安裝 libpcap*.rpm (在 RedHat 光碟中, 或可至 ftp://linux.sinica.edu.tw 抓取)
rpm -ivh libpcap*.rpm
(假設您已安裝了 zlib-devel*.rpm, gdbm-devel*.rpm, libpng-devel*.rpm)
下載 ntop
可至 ftp.tnc.edu.tw/sysop/ntop 下載 ntop-current.tgz (2002/09/28 版)
或至 http://snapshot.ntop.org/ 下載
ntop 首頁在: http://www.ntop.org/ntop.html
小弟提供一自動安裝 script 檔, 請至 ftp.tnc.edu.tw/sysop/ntop 下載 doit.sh, 把它和 ntop-current.tgz 放在同一個目錄下去執行. 如下所示:
sh doit.sh
或
chmod +x doit.sh
./doit.sh
它會編譯及安裝 ntop 及 gdchart 等工具, 完成安裝需要一段時間, 吃杯咖啡去吧..... ;-)
若一切正常, 便可準備執行 ntop, 不過, 在執行 ntop 之前, 請先開設一個目錄供 ntop 可以將 db 記錄檔寫入存放. (/home/ntop_db 是我自訂的)
mkdir -p /home/ntop_db
chown 99.99 /home/ntop_db
執行 ntop: (這一版開始 ntop 不再允許用 root 權限執行, 因此您必須用 -u 來選擇執行時的權限身份.)
/usr/local/bin/ntop -u nobody -P /home/ntop_db
(第一次執行時它會問你 admin 密碼, 請自行設一個, 往後可由 Admin->User 中去更改 admin 的密碼)
按 ctrl C 之後, 中止 ntop, 再執行以下指令:
/usr/local/bin/ntop -u nobody -P /home/ntop_db &
也可將上一指令放入 /etc/rc.d/rc.local 中, 使其一開機就執行 ntop
觀看 ntop:
用瀏覽器連接至 http://您的主機:3000/
畫面如下:
ntop 也附有文字介面 intop
使用法如下: (假設您要讓 eth0 進入監聽模式)
intop -i eth0
它會進入一個 intop 的 shell 中
再下 top 即可看到各主機的流量. 如下圖所示:
--------------------------------------------------------------------------------
對想要監控了解校園網路內部情況的人而言, ntop 是一個相當不錯用的好工具.
參考文件在 ntop-current/ntop/docs, 或查 man ntop, man intop, 請自行再研究.
OLS3
[/COLOR]
如何做 Netflow 流量分析?
1. Router 必需為 Cisco 7 系列
login to router 執行以下指令:
ip flow-export <IP> <port>
ip flow-export 10.0.0.1 9991
如此一來,router 便會開始將 flow 資訊向那個 IP 送出 (UDP packet)
2. 計算工作站的硬體需求
單位 連線頻寬 每日流量 硬體需求
區網中心(NCTU) T3 甚至更高的網路頻寬 800MB Pentium-III 800 + 512 MB RAM
大學院校 數條 T1 (4-6) 400MB PentiumII 233 + 256 MB RAM
高中職校 T1 100MB PentiumII 233 + 128 MB RAM
不過呢,千萬不要以為真的拿上面列出來的硬體去跑就夠了,操下去機器慢的跟老牛拖車一樣,還外加翻車跌倒。
現在 CPU 跟 RAM 都很便宜,買好一點、快一點的吧!!
(CPU 外頻請用 100/133,千萬別用 66,會慢到吐血,NCTU 就是血淋淋的例子)
主機板 Asus or Abit 都不錯,只要能夠 overclock,快又穩就可以了。
硬碟視要留幾天份的流量資訊,自行算算,買 IDE 硬碟就可以了。
網路卡的唯一選擇 Intel EtherExpress Pro 10/100, 兩千塊而已,不要開玩笑說沒錢。
機器接在 10 or 100 的 ethernet 都可以,並不用自己獨立一個 subnet,跟人家共用沒關係,只是一定要直接插在switch 上面,以免大家互相干擾,以 NCTU 為例,流量約為 150-200KB/s,其實不大(跟 MPEG I 一樣)。
OS 強烈建議 FreeBSD,最最最 powerful 的作業系統: http://freebsd.csie.nctu.edu.tw/
千萬別用 Sun/HP 工作站,貴又不好用,計算能力又差。根據實測經驗,Sun Ultra2 跑起來,比 Pentium 200 還慢,
更別提硬碟 IO 了。
那雙 CPU 的機器如何呢?如果錢太多的話,買 Pentium-III 800 + 1G RAM 還比較實用咧!
3. 統計分析程式
目前的作法是兩段式處理。
第一段: 在機器上固定跑一隻 daemon,負責收集 Router 所送出的 UDP 封包,並且寫入硬碟。
第二段: 分析 log file,並且產生所需之報表。
4. 如何記錄儲存 flow 資訊
請取用這隻程式: flow.tgz
a. 先確定機器上有安裝 zlib,ex: /usr/lib/libz.so.2.0
b. tar xvfz flow.tgz
c. 根據你機器的 plateform,使用不同的 make 參數
d. 執行:
flow-capture -z 壓縮比例 -n 每日留存幾份 -e 總共留存幾份在硬碟 -p PORT 為何 -w 存在哪裡
ex: flow-capture -z 61 -n 143 -e 1500 -p 9991 -w /netflow
(壓縮率 6 就差不多了,設定更高的參數不見得可以多壓多少,一天留 144 份,也就是每十分鐘 rotate 一次 log file,
方便我們做細部的統計,一共留存 1500 份,也就是十天左右,最後就是所有的 log file 都放在 /netflow)
* 請加到 /etc/rc.local
e. 如何觀察 log file
flow-print -f0 < logfile
欄位由左至右分別為:
Source Interface Source IP Destination Interface Destination IP Protocol Source Port Destination Port Packets Octects
f. 之後就很方便用任何方法去做加總、統計、排序了。
5. 如何產生統計分析報表
由於各單位對於流量分析的需求不一,希望獲得的資訊亦大不相同,所以最好的方式便是自行開發符合
所需之統計分析程式,目前我們所使用的程式,產生之結果可參考:
http://netflow.edu.tw/netflow/daily/index.html 以及 http://netflow.nctu.edu.tw/netflow/daily/index.html
我們提供三個版本的 perl 程式:
版本
交通大學與新竹區網中心 台灣學術網路出國頻寬 某 ISP 出入分析
網路組態 T3/OC3/T1 一堆亂七八糟的 link ethernet 與 T1 Only 1 T1
流量判斷 interface 錯綜複雜,為了判斷 Incoming 與 Outgoing 的流量,必需花費許多比對的工作。
interface 只有幾個,例如:由 ethernet 進入的就是專屬頻寬,由 serial 進入的就是原有的 T1。
只有一個 interface 對外,所以只要針對那個 interface 做判斷即可。
建議 非常複雜,建議不要自找麻煩了
組態直覺、簡單,並且只有 Incoming 單向的 traffic
單純的網路設定,建議大家用這份改
* 請先確定機器有安裝 perl5
將 .tgz 檔案解開後,請先修改 netflow.pl:
a. sub chkInOutNetwork: 將每一 flow 歸類為 IN or OUT 的流量。
參考三種版本的作法:
isp.tgz 因為只有一個 interface 對外,所以 ( $sif == 4 && $dif != 4 ) 與 ( $sif != 4 && $dif == 4 ) 即可判斷
moe.tgz 由不同的 interface 進入的流量,歸類為不同的 Network。
nctu.tgz 由於 router 對外有 multi-link,所以需要複雜的 $sif/$dif 判斷;而且因為 TANet backbone 為 ATM 架構,router 都必需接到 ATM switch,造成內部 router 對傳也是得經過 ATM switch,也就是造成 internet/intranet 的 $sif/$dif 都是 ATM interface,所以需要 sub isInNet 來做 IP 比對的工作。
interface 的數字可以利用 snmpwalk 這隻程式取得;(須安裝 ucd-snmp ,目前版本為4.1.2)
snmpwalk <IP> <community> interfaces.ifTable.ifEntry.ifDescr
b. sub isInNet: 如果光是利用 interface 無法判斷 IN/OUT, 則請修改此 subroutine。
(也只有 nctu.tgz 的 sub chkInOutNetwork 才去 call sub isInNet)
再來請修改 *-daily.pl:
a. 第一行, perl5 的 path
b. 各種 dir 的設定
$dir 程式的所在目錄
$rawdir 所有 raw log file 的所在目錄
$flowprint 這隻程式的所在目錄
$outputdir 程式產生結果所放置的目錄
c. 修改 sub daily_summary、 sub daily_summary_html、sub output_daily_topn_html 與 sub daily_classc_output 中,
關於 $net 的部分,以符合貴單位的網路組態
d. 比較三個版本中的 sub daily_classc_output,moe.tgz 與 nctu.tgz 的 RAW file 輸出,都是只針對 class C network,
因為網路數量實在是太多了,但是 isp.tgz 的 RAW file 輸出,則是針對每一個 IP,原因無他,小 ISP 不過數個
class C network 罷了!
結果輸出:
$outputdir/html/日期 HTML版: 每日 summary 與 TopN 流量排行榜
$outputdir/text 文字版: 每日 Class C Network 流量比率
$outputdir/raw 文字版: 每日 Class C Network or per IP 流量 RAW log,方便日後做 monthly 加總
* 請將 *-daily.pl 加入 crontab,每日凌晨執行一回
6. 如何產生即時流量資訊
結果範例: http://netflow.edu.tw/netflow/mrtg/index.html 與 http://netflow.nctu.edu.tw/netflow/mrtg/index.html
a. 解開 .tgz file
b. 修改 *-10min.pl 中關於 $dir 等等 path 設定,以及 sub daily_summary 與 sub netflow_10min_output中關於 $net 的部分。
c. 修改 mrtg-10min.pl 的 $dir
d. 請安裝 mrtg
e. 取回 netflow.cfg 置於 mrtg 目錄下,並且修改.
第一行: WorkDir
Target[] 的名稱
Target 之後用來取資料的程式路徑與參數
f: 利用 indexmaker 產生 list html 檔,或者是參考範例
g: 修改 crontab,每十分鐘跑一次.
2-52/10 * * * * /home/netflow/analysis/nctu-10min.pl; /home/netflow/mrtg/mrtg /home/netflow/mrtg/netflow.cfg
7. 建議
由於時間倉促,無法盡善盡美,如果有任何問題、意見、建議、批評,請盡快告訴我們!
[/COLOR]
[ 安裝心得 ] 如何設定 ntop ﹖
--------------------------------------------------------------------------------
作者﹕網中人 <[email protected]>
-------------
前言﹕
相信不少朋友都已經知道如何用 mrtg 來監測網路流量了。
但﹐我知道更多朋友甚至希望能有一個工具﹐能夠輕鬆直觀的將網路使用量的情況顯示出來﹐
比方說﹐以使用量進行排序﹐諸如此類的。
ntop 就是這樣一個工具了。下面為大家介紹如何用 tarball 和 RPM 的方法來安裝 ntop 。
另外,本文經過更新,之前在 rh7.1/rh7.2 版本上的實作可能不太合適了,
但基於學習目的,我還是保留下來了。
首先,我以 rh7.3 來說明,這是最簡單的步驟了,照著打字就應該沒問題了:
1) 下載軟體:
cd /usr/src
wget http://umn.dl.sourceforge.net/so ... top-2.1.3-0.src.rpm
2) rebuild SRPM:
mount /mnt/cdrom
rpm -ivh /mnt/cdrom/RedHat/RPMS/libpcap-0.6.2-12.i386.rpm
rpm --rebuild ntop-2.1.3-0.src.rpm
3) 安裝:
rpm -ivh /usr/src/redhat/RPMS/i386/ntop-2.1.3-0.i386.rpm
4) 閱讀資訊:
less /usr/share/doc/ntop-2.1.3/1STRUN.txt
5) 建立帳號:
useradd -g ntop -s /bin/true -M ntop
6) 初始化:
/usr/sbin/ntop -P /usr/share/ntop/ -u ntop -A
7) 啟動:
chkconfig ntop on
service ntop start
8) 測試:
http://your.ntop.server:3000
~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *
其後是舊有文章部份:
-------------
測試環境﹕
RedHat 7.2: tarball 安裝
RedHat 7.1: RPM 安裝
-------------
設定步驟﹕
一﹐tarball 的安裝方法﹕
剛好前不久在新聞組上看到有人討論 ntop 的安裝﹐按照 Kefore兄 的步驟是非常輕鬆的。
下面是我的一些補充﹕
~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *
"neuro" 撰寫於郵件
news:[email protected]...
> Thank Eddie Chang very much !-)
>
> [root ntop]# make
> ....(omitted)
> gcc -shared address.lo dataFormat.lo globals-core.lo hash.lo initialize.lo
> lea0
> /usr/bin/ld: cannot find -lmysqlclient
> collect2: ld returned 1 exit status
> make[2]: *** [libntop.la] Error 1
> make[2]: Leaving directory `/root/src/ntop-current/ntop'
> make[1]: *** [all-recursive] Error 1
> make[1]: Leaving directory `/root/src/ntop-current/ntop'
> make: *** [all-recursive-am] Error 2
> [root ntop]#
不知道您的系統為什麼會這樣﹖
為了驗證您的問題﹐我剛纔在我的 redhat 7.2 實作了一遍﹐
基本上按照 Kefore兄 原本的步驟來做就可以了﹐我只略為修改了一下而已﹐
其它都非常順利﹕
"我與我淡藍獨角獸" 撰寫於郵件
news:[email protected]...
>
> 小弟由於業務上的需要,因此想得知ip流量的排名,
>
> 經詢問板上高手的意見後(在此謝謝hardstone,netman,responder,leoliu
>
> ,尤其特別感謝hardstone及netman的協助)
>
> 決定安裝ntop來解決這部份的問題
>
> 但www.redhat.com所附的ntop.1.3.xxx.rpm早已不合宜
>
> 所需要解決其相依性的rpm有六個之多,
>
> 還得解決其中的版本的問題(libpcap-0.4-39.i586.rpm對ntop.1.3版版本太新)
>
> 到不如直接下載最新tarball直接compile
>
>
>
> 以下是小弟安裝ntop的過程?
>
> 環境:Red Hat Linux 7.1 及Kernel 2.4.2-2
>
> 要安裝ntop,必需有libpcap
>
> 1.請至www.tcpdump.org下載libpcap
> http://www.tcpdump.org/release/libpcap-0.7.1.tar.gz
> 下載回來後
> tar -zxvf libpcap-0.7.1.tar.gz
> cd libpcap-0.7.1
> ./configure
> make
> make install
> cd ..
>
>
> 2.請至snapshot.ntop.org下載ntop
> http://snapshot.ntop.org/tgz/ntop-02-02-15.tgz
> 下載回來後
> tar -zxvf ntop-02-02-15.tgz
> cd ntop-current
>
> 先compile gdchart
> cd gdchart0.94c/
> ./configure
> cd gd-1.8.3/libpng-1.0.8
> cp scripts/makefile.linux Makefile
> make
> cd ../../zlib-1.1.3/
> ./configure
> make
> cd ..
> make
>
>
> 再compile ntop
> cd ntop
如果目錄沒改變的話﹐請改為﹕
cd ../ntop
> ./configure
我建議您先建立如下兩個目錄﹕
mkdir /usr/local/man/man1/intop/ # 註﹐請參考後面的‘一些注意’
mkdir /usr/local/var
> make
這裡不妨做一下﹕
make check
> make install
>
>
> 3.啟動ntop
> ntop -i eth0
上面的命令不妨丟到背景執行﹕
ntop -i eth0 & 1>/dev/null 2>&1
要結束的話輸入﹕
killall ntop
>
> 4.進入http:\\your_ip:3000\
> 就可以看到ntop了,如有其他問題,請查
> http://snapshot.ntop.org/faq.php以及
> http://listmanager.unipi.it/pipermail/ntop/
~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *
相信按照上面的步驟都不會有問題吧﹖
二﹐RPM 的安裝方法﹕
我首先嘗試的是抓 ntop-2.0-1BETA.src.rpm 回來 rebuild 和安裝﹐都沒問題﹐
但執行的時候卻出現如下錯誤﹕
> gcc: main.o: No such file or directory
> gcc: .libs/libntopreport.so: No such file or directory
> gcc: .libs/libntop.so: No such file or directory
於是就自己動手做 RPM 了﹕
1) 移除舊檔
rpm -e ntop
rpm -e libpcap
2) 安裝 libpcap
rpm --rebuild libpcap-0.7.1-1.src.rpm
rpm -ivh /usr/src/redhat/RPMS/i386/libpcap-*.rpm
3) 製作 ntop RPM
tar -zxvf ntop-02-02-15.tgz
cp -a ntop-current /usr/src/redhat/SOURCE
cd /usr/src/redhat/SOURCES
tar zcvf ntop-2.0-src.tgz ntop-current
cat ntop-current/ntop/packages/RedHat/ntop.spec \
| tr -s '\015' '\n' > ../SPECS/ntop.spec
cd ../SPECS
vi ntop.spec
--> 修改內容如下﹕
將第 39 行之 cd gdchart0.94c/ 換成如下內容﹕
cd ntop-current/gdchart0.94c/
在 57 行之 %install 下面增加一行﹕
cd ntop-current
在第 68 行下面增加兩行﹐使其結果變為如下(第 68~70 共三行)﹕
chmod +x ${RPM_BUILD_ROOT}%{prefix}/lib/*.so.*.*
cat packages/RedHat/ntopd |tr -s '\015' '\n' > ../../../../SOURCES/ntopd
chmod +x ../../../../SOURCES/ntopd
4) 安裝 ntop RPM
rm -f ../RPMS/i386/ntop*
rpm -ba ntop.spec
rpm -ivh ../RPMS/i386/ntop-2.0-1.i386.rpm
vi /etc/sysconfig/ntopd
--> 編輯其內容如下﹕
NTOPD_IFACE=eth0
NTOPD_PORT=3001
NTOP_FLAGS="-d"
5) 使用 ntopd
啟動﹕
service ntopd start
關閉﹕
service ntopd stop
-------------
檢視成果﹕
1) 只要您有網頁瀏灠器﹐將 URL 至到您的於設 html 目錄下的 mrtg/index.html 就可以了﹐
例如﹕
http://your.machine.name:3001
-------------
一些注意﹕
* 我是直接那 tarball 的原始碼來修改的﹐不確定外面是否有更完整的包好的 RPM 可以使用﹖
* 原本的 source 中﹐關於 RedHat 的兩個 script ﹐懷疑是從 windows 端進行過檔案轉移﹐
會出現討厭的 ^M 問題﹐務必使用 tr 或其它程式將其轉換為正確的 linefeed 。
* 原來的 spec 檔似乎有點問題﹐請小心修改處理。如果失敗﹐可以根據錯誤信息來修改。
* 使用 rc daemon 啟動方式的話﹐請務必撰寫 /etc/sysconfig/ntopd 檔案﹐否則跑不起來。
* ntop 預設的 port 在 3000 上面﹐建議您修改為其它值﹐
同時必須用透過 firewall 或其它機制來限制 ntop 的閱覽來源﹐因為上面的資訊太多了﹗
* 根據網友 逍遙子兄 的反映﹐在執行 etc/cron.weekly/makewhatis.cron 的時候會有錯誤﹐
經查﹐可能是前面的 mkdir /usr/local/man/man1/intop/ 引起的。
如果您不想看到這個錯誤信息﹐不妨用 rm -rf /usr/local/man/man1/intop 將之砍掉。
-------------
後記﹕
ntop 的確是網管人員的好幫手﹐透過它﹐基本上所有進出流量都無所遁形﹗
不管拿來做例行的監測工作﹐還是拿來做報告﹐都是非常優秀的工具。
不過﹐由於 ntop 的資訊量非常多﹐如何保護這些資訊只能給授權的人士獲得﹐
將變得額外重要。
-------------
最後更新日期﹕
2002/04/08
-------------
附錄﹕
我怎麼知道如何建 RPM ﹖
"我與我淡藍獨角獸" 撰寫於郵件
news:[email protected]...
> > 3) 製作 ntop RPM
> > tar -zxvf ntop-02-02-15.tgz
> > cat ntop-current/ntop/packages/RedHat/ntop.spec \
> > | tr -s '\015' '\n' > ../SPECS/ntop.spec
> > cd ../SPECS
> > vi ntop.spec
> > --> 修改內容如下﹕
> > 將第 39 行之 cd gdchart0.94c/ 換成如下內容﹕
> > cd ntop-current/gdchart0.94c/
> > 在 57 行之 %install 下面增加一行﹕
> > cd ntop-current
> > 在第 68 行下面增加兩行﹐使其結果變為如下(第 68~70 共三行)﹕
> > chmod +x ${RPM_BUILD_ROOT}%{prefix}/lib/*.so.*.*
> > cat packages/RedHat/ntopd |tr -s '\015' '\n' >../../../../SOURCES/ntopd
> > chmod +x ../../../../SOURCES/ntopd
>
> 這裏想請教網中人,您如何知道要修改/ntop-current/ntop/packages/ntop.spec呢?
>
> 謝謝您的回答,謝謝
>
哈~~ 我用的是最笨的方法﹕try-test-fix cycle
前面那幾行字打上來不需要兩分鐘﹐
但要知道打些什麼﹐可花了我一個晚上的時間哦~~ ^_^
這裡不妨分享一下我的‘笨’方法吧﹐或許可以幫助其它朋友弄個‘聰明’的法子﹕
當初我是用 ntop-2.0-1BETA.src.rpm 這個 source rpm 來 install ﹐
然後在 SOURCES 那邊﹐將 ntop 的 tarball 換掉﹕
1) 將 ntop-02-02-15.tgz 解開之後丟到 SOURCES 那邊
2) 將原本的 ntop-2.0-pre.tgz 改一個名字
3) 將 ntop-current 用 tar -zcvf 包裝為 ntop-2.0-pre.tgz
然後回到 SPECS 那邊執行 rpm -ba ntop.spec
不過﹐當然是碰到不少問題﹐
但您總是可以根據最後數行知道 spec 檔的哪行過不去﹐
根據錯誤信息的提示來找問題﹕
* 直接修改 ntop.spec
* 修改 SOURCES/ntop-current (及子目錄) 裡面的 Makefile.*
* 用 grep -r 搜索 SOURCES/ntop-current 整個目錄
* 其它想得到的辦法(我不會 c ﹐要不然可能還會嘗試修改 ntop 的 source 呢﹗)
修改完之後從新用 tar 來包裝 SOURCES/ntop-2.0-pre.tgz
再來執行 rpm -ba (這是最花時間和最無聊的事情~~ )
老是不成功﹐發現修改了的 Makefile.* 似乎沒什麼用﹐
因為在 BUILD 目錄下的 Makefile 都沒改變(唉~~ 整個超出我的 debug 能力了~)
後來在一次 grep -r 中發現了 packages/RedHat 目錄有 ntop.spec 和 ntopd ﹐
當然不放過‘借用’的機會啦~~
將 SPECS 的 ntop.spec 換掉﹐
然後再跑 rpm -ba ﹐再根據提示修改﹕
* 例如將 SOURCE 裡面的 tgz 名稱換為 spec 需要的
* 修改 spec 檔的 cd 路徑
* 將 ntopd 搬到正確的路徑
等 rpm -ba 過關之後(看到 Wrote 之類的..)
將原本 ntop-2.0-1BETA.src.rpm 所產生的東西全部砍掉﹐
再重新跑一遍筆記整理的流程。
最後﹐得出來的結果﹐就是前面那幾行文字了...
--
======= http://www.study-area.org =======
飛雪迎春到﹐風雨送春歸
已是寒崖百丈冰﹐尤有花枝俏
俏也不爭春﹐只把春來報
待得山花爛漫時﹐他在叢中笑﹗
[/COLOR]
Flow-capture的一些资料
flow-capture 抓取netflow的封包.
/usr/local/bin/flow-capture -z 6 -n 144 -e 1440 -N -1 -w /netflow 0/0/9991
其中 -n 144 表示一天分割成144份檔案,既10分鐘一個檔案
-e 1440 保留 1440份,既10天量 -N -1 格式-1 為年-月-日
-w /netflow 收及封包檔案放到/netflow 0/0/9991 接收所有機器的netflow封包,port 為9991
如果一切順利,會看到目錄下有tmp-v05. 及ft-v05 等檔案產生.
tmp-v05 為暫存檔. ft-v05 為儲存的檔案.
接下來,就是分析了.....透過flow-tools 提供一些分析工具,可快速產生.
flow-cat 檔案 | flow-print 將列出所有抓下的封包
flow-cat 檔案 | flow-stat -f8 -S2 | tail +13l | head -10
可抓取目的地流量前10名ip.
flow-cat 檔案 | flow-stat -f5 統計port量(別被P2P軟體量嚇到)
flow-cat 檔案 | flow-filter -P6677 | flow-stat -f8 -S2
抓出port 6677 (kuro) 的排名,然後拿HDD過去給他.有好聽音樂可聽[/COLOR] |
|
狗仔卡
发表于 2004-1-17 18:26:05
提升卡
置顶卡
变色卡
恢复卡